Am stat de vorbă cu Jean-Ian Boutin, Director of ESET Threat Research, despre modul în care soluțiile care îmbină tehnologia avansată cu expertiza umană aduc cea mai mare valoare practică pentru companii.

Echipele de IT și securitate din corporații au sarcina dificilă de a ține la distanță adversari perseverenți și din ce în ce mai sofisticați. De asemenea, ele se confruntă adesea cu resurse limitate și cu o suprafață de atac în continuă extindere, iar recrutarea și păstrarea profesioniștilor de elită pentru a gestiona un centru intern de operațiuni de securitate (SOC) sunt obiective imposibil de atins pentru multe organizații. În același timp, amenințările continuă să evolueze, iar atacatorii își perfecționează tehnicile, provocând incidente care, de multe ori, blochează complet activitatea unui business.

Pentru a evita să fie luate prin surprindere, echipele de apărare au nevoie de o abordare proactivă, care să combine prevenția, detecția și remedierea cu informații precise și actualizate despre amenințări (threat intelligence). Dacă dezvoltarea unei astfel de capacități la nivel intern nu este posibilă, atunci închirierea sau achiziționarea acesteia sub formă de serviciu devine opțiunea mai realistă. Nu este, desigur, un concept nou – organizațiile mai mici beneficiază de decenii întregi de avantajele inovațiilor IT prin intermediul centrelor de servicii (bureaux), furnizorilor de servicii gestionate (MSP) și tehnologiei cloud.

Există argumente solide pentru a proceda la fel și în cazul serviciilor avansate de securitate cibernetică, iar aici intervine Managed Detection and Response (MDR), care poate avea un impact major. MDR oferă organizațiilor o capacitate de monitorizare și căutare proactivă a amenințărilor (threat hunting), scalabilă și bazată pe expertiză, fără a implica costurile ridicate specifice unui SOC de elită. Nu cu mult timp în urmă, un serviciu MDR era scump și complex – chiar dacă era mai accesibil decât o structură internă dedicată. Acum, devine o opțiune tot mai practică și pentru organizațiile mai mici.

Recent, ne-am întâlnit cu Jean-Ian Boutin, Director of ESET Threat Research, pentru a discuta despre activitatea echipei sale și despre modul în care cercetarea și informațiile despre amenințări (threat intelligence) sunt integrate în fluxurile de lucru ale serviciilor MDR. De asemenea, Jean-Ian ne-a oferit o privire de ansamblu asupra situațiilor în care combinația dintre tehnologia de ultimă oră și expertiza umană aduce cea mai mare valoare practică, în special pentru mediile IMM-urilor.

Ce câștigă majoritatea utilizatorilor din segmentul IMM de pe urma activităților desfășurate de ESET Threat Research? Cum se schimbă acest lucru atunci când folosesc serviciile ESET MDR?
ESET are o echipă de cercetare a amenințărilor răspândită în mai multe regiuni; eu fac parte din echipa din Montreal, dar avem cercetători în toată Europa și în SUA. Există resurse pe care oricine le poate accesa: articolele noastre de pe WeLiveSecurity, precum și discursurile și prezentările de la conferințele de securitate cibernetică din întreaga lume. Apoi, există beneficii de care se bucură doar clienții business ai ESET: tot felul de „tips and tricks” (sfaturi și tehnici); mai exact, informații despre atacatorii cibernetici: ce fac, cum operează – toate acele detalii care îi ajută pe clienții noștri să rămână în siguranță.

Când vine vorba de detecție și răspuns gestionate (MDR), informațiile despre amenințări (threat intelligence) reprezintă o componentă cheie. Acestea ajută echipa noastră de detecție și răspuns să înțeleagă modul în care operează diverșii atacatori și cum pot folosi aceste informații pentru a ne proteja clienții împotriva breșelor de securitate.

Am vorbit puțin despre „vârful icebergului” – despre ce înseamnă partea de backend a MDR, pe care utilizatorii o văd rareori, dar care este absolut critică. Ne puteți detalia acest aspect?
Diversele alerte care pot apărea în consola dvs. vor fi uneori detecții la nivel de endpoint pe care dorim să le investigăm. Echipa mea are responsabilitatea de a se asigura că toate mostrele și amenințările noi sunt gestionate și detectate în mediile clienților. Astfel, o parte din rolul echipei este tocmai să se asigure că toate aceste noi tendințe și mostre sunt analizate, investigate și apoi detectate în infrastructura clienților noștri. Acesta este unul dintre aspectele cheie.

Acordăm o atenție deosebită organizării informațiilor despre amenințări privind criminalitatea informatică, ransomware, grupuri APT și actori statali care vizează organizații la nivel global. Cercetătorii noștri folosesc aceste informații pentru a face legătura între noile breșe și cazurile din trecut. Ei evaluează, de asemenea, gravitatea breșei și pot determina care ar putea fi scopul din spatele atacului. Astfel, îi oferă clientului o imagine completă asupra a ceea ce s-ar fi putut întâmpla, dacă a avut loc sau nu o breșă, sau chiar cine este grupul specific care i-a vizat.

Ce aduce MDR în plus față de protecția ESET deja existentă pentru endpoint-uri?
MDR este o soluție mult mai personalizată, iar relația cu clientul este îmbunătățită și mult mai strânsă. Totuși, rezultatele muncii echipei mele sunt distribuite în întreaga suită de produse.

S-a discutat recent despre rapoartele private ESET: cât de relevante sunt acestea pentru ceea ce întâmpină majoritatea întreprinderilor mici și mijlocii? Se confruntă acestea cu atacuri țintite? Dar cu actori statali?
Profilul de amenințare variază de la o organizație la alta. Un actor statal va avea, de obicei, obiective predefinite și va viza victime care se aliniază cu acele scopuri.

În ce privește criminalitatea informatică, este o sferă largă. Vorbim despre atacuri țintite în masă. Vedem foarte mult malware de tip infostealer, dar și multe atacuri de tip ransomware. Astfel, rolul nostru este să înțelegem cum operează toate aceste grupări și să ne asigurăm că, dacă apar tehnici noi, putem acționa extrem de rapid pentru a bloca toate tentativele. Acesta este obiectivul final, însă există atât de mulți actori care desfășoară astfel de activități și atât de multe familii de malware, încât protejarea clienților este, la propriu, o muncă zilnică. Cu siguranță nu ducem lipsă de lucru.

James Rodewald, unul dintre analiștii de securitate ESET, folosește acest concept de „triangulare”: observarea unui fenomen în mediul real, primirea de informații de la un client afectat și consultarea echipei de threat intelligence. Un exemplu oferit de el a fost un atac care a implicat grupul FamousSparrow. Ne puteți oferi mai multe detalii din perspectiva dvs.?
Este esențial să avem relații strânse cu persoanele care gestionează direct aceste tipuri de cazuri. Rolul principal al echipei mele este să analizeze telemetria – adică datele colectate de la toate endpoint-urile – pentru a găsi cazuri interesante și situații asupra cărora trebuie să lucrăm pentru a îmbunătăți protecția generală. Uneori însă, echipa MDR dă peste ceva ce am mai văzut în trecut, ceea ce ne permite să înțelegem mult mai bine modul în care operează respectivul atacator.

În acel caz specific (FamousSparrow), a fost o experiență revelatoare pentru noi, deoarece nu mai întâlnisem acest atacator de ceva vreme. Ori de câte ori există un caz care implică un client ce folosește serviciul MDR, procesul de cercetare este mult mai eficient: relația mai strânsă cu clientul înseamnă că știm mai multe despre infrastructura sa, deci îl putem ajuta mai bine. Putem înțelege mult mai clar impactul incidentului. Informațiile sunt apoi transmise celorlalți clienți de threat intelligence. Astfel, încercăm să fim cât mai aproape de toate aceste echipe și să corelăm incidentele pentru a ne îmbunătăți acoperirea și capacitatea de a înțelege toate aceste amenințări.

Ați menționat relațiile de lucru cu analiștii MDR și echipa D&R (Detection and Response). Cum se schimbă modul în care vă desfășurați activitatea și înțelegerea amenințărilor atunci când aveți acest tip de relație directă cu analiștii și, eventual, și cu clientul?
Schimbă absolut totul. Prin intermediul MDR, avem deja o relație de colaborare cu persoana responsabilă de securitatea acelei organizații, astfel încât putem înțelege extrem de rapid amploarea atacului: ce s-a întâmplat exact, de ce se aflau atacatorii acolo și așa mai departe. Informațiile pe care le avem la dispoziție sunt exponențial mai vaste decât cele pe care le putem obține de la endpoint-urile obișnuite. Prin urmare, pentru noi, această relație este inestimabilă din punctul de vedere al informațiilor obținute, al vizibilității și al modului în care înțelegem fiecare caz în parte.

Anul trecut, în Marea Britanie, a existat un val de atacuri care au compromis organizații mari, precum Jaguar Land Rover și Marks & Spencer, prin intermediul serviciilor de helpdesk externalizate. Companiile mici și mijlocii au, la rândul lor, astfel de servicii externalizate ca parte din lanțul lor de aprovizionare și, adesea, ele însele reprezintă veriga mai puțin protejată din lanțul de aprovizionare al unei companii mari. Ar trebui să fie acestea îngrijorate?
Riscul reprezentat de atacurile asupra lanțului de aprovizionare este semnificativ. Au existat numeroase cazuri documentate de-a lungul anilor în care atacatorii vizează vulnerabilități din acest lanț, concentrându-se adesea pe furnizori terți care au măsuri de securitate mai puțin stricte. Prin compromiterea acestor furnizori, atacatorii pot obține accesul inițial în rețeaua unei organizații.

În ceea ce privește MDR, un avantaj major este vizibilitatea extinsă pe care o oferă, asigurând o imagine de ansamblu asupra tuturor detecțiilor și alertelor. Această capacitate ne permite să identificăm chiar și anomaliile minore mult mai eficient. Având în vedere că echipa noastră monitorizează continuu astfel de organizații pentru potențiale incidente, suntem capabili să detectăm și să răspundem prompt chiar și la cele mai subtile erori ale atacatorilor.

Atacurile asupra lanțului de aprovizionare reprezintă provocări majore din cauza dificultății de a securiza toate entitățile terțe implicate. Totuși, implementarea unei soluții eficiente ne sporește capacitatea de a reacționa rapid și eficient la astfel de evenimente.

În calitate de manager al unei echipe de cercetare a amenințărilor, care este diferența principală pe care o vedeți în cazul clienților care adoptă MDR? Care este impactul pentru o organizație care folosește un serviciu MDR, comparativ cu una care nu a făcut încă acest pas?
În general, așa cum am menționat anterior, vizibilitatea continuă este mult mai mare cu MDR. Dacă organizația dvs. este afectată de o campanie de atac, veți avea instrumente mai bune pentru a pune cap la cap toate acțiunile diferite întreprinse de atacatori și pentru a înțelege exact ce au făcut în interiorul rețelei.

Mai simplu spus, MDR oferă o perspectivă mult mai profundă asupra atacurilor. Din punctul de vedere al cercetării amenințărilor, este avantajul suprem. Un alt motiv esențial pentru care această vizibilitate este valoroasă este viteza de răspuns. Cu MDR, există deja un canal securizat între cercetători și compania dvs., ceea ce facilitează contactarea unei persoane care poate lua măsuri imediate pentru a izola și limita o breșă de securitate.

Ultima întrebare: Ce le-ați spune organizațiilor care ar putea considera că MDR este un serviciu prea complicat sau prea scump?
MDR funcționează ca o poliță de asigurare, ajutând la identificarea timpurie a amenințărilor, cum ar fi ransomware-ul – adesea înainte ca problemele majore să apară. Atacatorii folosesc de regulă brokeri de acces inițial pentru a pătrunde în rețea, însă există numeroase semnale de alarmă care pot fi detectate în avans. Deși plata unei răscumpărări nu este niciodată recomandată, procesul de recuperare poate fi, oricum, unul extrem de perturbator. MDR susține continuitatea afacerii, astfel încât să vă puteți concentra în continuare pe activitatea dvs. principală.